在當今的OT環境中,維護網路安全和營運完整性面臨前所未有的挑戰。傳統的IT安全資訊和事件管理系統(SIEMS)往往存在不足,導致關鍵的OT資產易受攻擊。
如果您熟悉傳統的企業或IT網路安全框架,那麼應對透過一種名為SIEM的技術實現的日誌記錄和事件管理功能有所了解。NIST、COBIT、ISO甚至PCI等標準皆在某種程度上將修補管理視為必要的資安能力。
本部落格文章將為IT和OT安全管理人員解析安全資訊和事件管理(SIEM)技術:
什麼是 SIEM?
SIEM系統能整合、解析和分析各種網路資訊源(包括安全資訊和其他資訊),以便進行儲存、警報、回應和報告。其真正威力在於能夠關聯不同的資料來源,並提供背景資訊,以識別和優先處理真正的威脅。分析師、自動化系統和資安團隊會處理警告、報警、事件和基準,以偵測和因應網路風險。這種關聯對於減輕警報疲勞至關重要,讓資安團隊能夠專注於可操作的見解。
SIEM 通常具備以下幾個關鍵功能:
這些觸發器或閾值既繼承自生成應用程式或系統,利用機器學習、統計學或啟發式方法,也繼承自人類或框架定義的使用案例。
最終,SIEM系統的目的是接收消息(通常採用Syslog和Windows事件格式),讓網路安全功能能夠取得這些訊息,並根據這些訊息發出警報,讓資安團隊能有效執行既定的程序和流程來管理威脅。以下為最佳範例:
想像一下,您擁有一家擁有融合基礎設施的中小型公司。有用於應付帳款的Windows系統,也有用於處理和分發工廠訂單及相關任務的Windows系統。這兩個功能都很關鍵,但一個與IT相關,另一個與OT相關。
現在想一下,負責應付帳款電腦操作的人員打開了一封釣魚郵件,攻擊者將惡意軟體植入該系統,幸運的是,該系統的防毒軟體偵測到並生成警報。
這是一個簡單的例子,但對於惡意軟體和負責管理資源的組織而言,將其系統日誌轉發至安全系統進行分析、調度工作和訓練是有益的。在這種情況下,惡意軟體被成功攔截(例如,沒有發生大規模的勒索軟體攻擊),但應付帳款人員可能需要接受網路釣魚防範意識訓練,或者需要其經理進行指導。
IT和OT SIEM之間的差異為何?
關於是否需要設立OT安全營運中心(SOC)來監控、調整和使用SIEM系統,存在很大爭議。另一個問題是關於OT SIEM的價值,及其與IT SIEM有何不同。
IT 和OT SIEM的差異
雖然IT和OT SIEM都負責資料的整合和分析,但兩者的關注點和優先順序卻大相徑庭。在OT領域,重點在於安全性、可靠性和可用性。這就需要專門的資料和分析能力。主要差異包括:
無論威脅來源為何,SIEM系統在IT與OT環境中雖有一些共通的應用情境與資安威脅,例如常見的惡意軟體,但隨著深入IT或OT的兩端,其所面對的事件與影響也會出現明顯差異。
IT 環境經常面臨來自惡意軟體、網路釣魚、資料洩露/破壞以及各種直接來自網際網路的威脅。對於OT環境而言,威脅在於專用程序控制設備、安全系統和生產線的安全受到威脅。對IT和OT而言,根據所執行的工作類型和產生的事件,所需的技能組合各不相同,優先順序也有所差異。
在IT環境,如果發出警報,指出X使用者正在執行Y操作,或者Z惡意軟體警報已觸發,那麼對於這些情況的網路安全處理相對比較容易理解。但在OT環境,由於各種專有供應商和技術跨越數十年,導致負責保持設施運行(和安全)的團隊會接收到大量警報或提醒。
哪些因素產生對OT SIEM的需求?
一個環境通常同時需要IT和OT SIEM。事實上,在幾乎所有工業網路攻擊事件中,攻擊者都是先在IT環境中取得立足點,再橫越兩者之間的防護層,進一步滲透至OT系統。
為了有效降低IT和OT環境的網路風險,需要一個單一的視圖來監督資產管理、報告和SIEM功能。
剩下的問題是:該如何才能最有效呈現這種整合式視圖。何時需要部署OT SIEM系統,該系統能為營運技術提供特定的資料整合、分析、事件回應和報告功能,並將關鍵警報和資訊轉發到企業安全營運中心(SOC)?
這些問題的解決方式與策略,需根據每個組織的具體情況量身訂做。對於某些組織而言,或許只有一個沒有特定OT功能的單一SIEM系統很合理。但是對於某些組織而言,擁有一個強大的OT SIEM系統非常重要。
SIEM需求成長的因素
1. OT 流程的複雜性: 電力、煉油、水處理等產業的公司必須營運複雜的實體流程,有賴深厚的工業控制系統營運經驗。為了識別和分析風險及應變措施,OT人員需要存取OT SIEM系統來提供只有他們才能全盤了解的詳細資訊。流程越複雜,從OT SIEM中獲得的價值就越大。
2. OT 流程的關鍵性: 許多工業組織的OT流程是其組織的命脈。無論是惡意攻擊還是無意的設備故障,停機都會帶來巨大的經濟損失。因此,對製程變異、因潛在故障導致的控制設備行為異常,以及可能造成中斷的新設備進行監控,都能帶來顯著的價值。OT SIEM都能提供這些寶貴的資訊。
3. OT 基礎設施的網路存取/區隔: OT與IT的網路分離程度越高,OT SIEM的價值就越大。隨著對在地營運人員採取即時行動的依賴日益增加,OT SIEM的價值也隨之提升。
4. 合規與監管:在北美電力業等產業中,NERC CIP等網路安全法規都會要求提供詳細的OT資料。將這些資料納入IT SIEM系統可能沒有意義,因為其更側重於合規性,而非提供安全營運中心可能使用的安全分析。
企業IT SIEM系統在發佈工單時面臨的挑戰
這個問題的答案並不像表面上看起來那麼簡單,其複雜性主要來自於環境中舊有設備的數量,以及製程控制與法規要求的程度。畢竟,誰會希望讓自己的企業環境因為X合規要求而充斥著繁瑣的官僚流程與額外負擔呢?可能很少。
在IT SIEM的架構圖中,看起來似乎可行。然而,問題在於,大多數企業解決方案無法存取許多重要來源,只能在接收到警報後,由傳統IT分析師盡其所能確定警報的來源並將其發送到最佳位置。
在缺乏足夠資訊或背景脈絡的情況下,這些警報就「被踢皮球給OT處理。」假設存在一套工單或作業系統可串聯IT與OT兩個領域,充當兩者融合的橋樑,那麼實際作業往往落到OT人員或團隊身上,他們必須處理的,卻常是像這樣一句幾乎無法判斷的簡短訊息:
<日期> 資產ABC觸發加密憑證過期用例 - 需進行補救,優先順序高。
如果OT接收方夠幸運,或許就有針對該環境的適當程序指導。遺憾的是,即使是IT部門也無法僅憑這些資訊來理解情況,而由於OT方面的操作限制,確定優先順序和採取補救措施也極具挑戰。
換句話說,若警示缺乏足夠的背景脈絡與輔助資訊,單靠SIEM來進行資安監控,便會極度依賴完整的資產可視性以及對該資產或部署環境的專業知識。
我們來看一個在IT/企業領域中常見的情況:過期的SSL/TLS憑證。在企業領域,任何指示系統憑證已過期的警報、報告或警告都會引發一系列事件,例如:
再次強調,這只是一個非常簡單的例子,但在OT領域,發出憑證警告並非就代表直接的資安威脅。此外,在重新核發憑證之前,需要了解以下條件:
還有其他需關注的議題,但上述是OT SIEM至關重要的主要原因。它必須由熟悉自身環境的人員來管理,而非完全不同部門的團隊(當然,在融合式基礎架構中,由多方共同監控也未嘗不是好事)。警示訊號並不一定代表需要立即變更的問題,關鍵在於相關OT環境中合適人員的可見性與實地參與。
OT SIEM的參考架構為何?
就如同任何理論概念一般,關鍵在於如何從中獲得最大價值,並驗證其在現實環境中是否真正可行,而不僅僅停留在理論推演。這個想法是:
OT SIEM vs. IT SIEM
OT SIEM和IT SIEM的不同之處在於,兩個透過不同的視角來整合、分析和視覺化一組不同的資料。其結果是能夠獲得一套傳統IT SIEM無法提供的資安與可靠性洞見。
關鍵架構差異
典型的OT SIEM架構包含從OT裝置透過安全區域與通道收集資料,在專屬的OT資安區域中進行分析(該區域通常位於非軍事區〔DMZ〕之後),並與企業級SIEM整合,以實現集中化可視性。
並非所有工業企業都需要一個獨立的OT SIEM系統,但有幾項因素會推動其價值的提升。
在OT環境中,使用安全區域和通道至關重要。區域根據風險和功能將網路劃分為邏輯區域,而通道則控制和監控這些區域之間的資料流程。這種方法有助於減少攻擊面,並限制潛在漏洞的影響。
OT SIEM扮演著重要的中樞角色,彙整最關鍵的警示與事件,再轉送至IT SIEM,使企業能從整體層面掌握資訊,這對於實現IT/OT融合式資安至關重要。資料自OT SIEM流向IT SIEM,提供關鍵警示與情境資訊,促成整體性的資安防護態勢。這種整合讓IT安全團隊能夠了解OT事件對整體企業的影響。
整合OT工具的API
OT SIEM系統必須整合OT環境中使用的工具。整合歷史記錄、HMI系統和資產管理平台等OT工具的API,對於全面監控和回應至關重要。這些整合功能使OT SIEM系統能夠關聯來自不同來源的資料,從而更準確、更全面地呈現營運環境狀況。
若未建立這樣的機制,在以行動為導向的環境中,可能會錯過應採取的修正措施,更糟的是,無關緊要的警報無法調整,真正關鍵的資安事件也可能被忽略。關鍵在於如何充分利用您的投資,降低更多風險並提高效益。
準備加強您的OT威脅偵測工作嗎?
歡迎聯繫我們,了解OT SIEM如何為您提供所需的可視性與控制力,協助您強化營運安全。
已發佈 2025年4月22日
為您推薦